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Het college van burgemeester en wethouders van de gemeente Berg en Dal; 

Besluit: 

1. instemmen met de integrale aanpak implementatie Baseline Informatiebeveiliging voor Neder¬ 
landse Gemeenten, wet Meldplicht Datalekken en privacy-beleid; 

2. vaststellen van het onderstaande Privacy-beleid Gemeente Berg en Dal 2016; 

3. vaststellen van het Privacyreglement Gemeente Berg en Dal 2016; 

4. de gemeenteraad via een informatienota informeren over dit besluit. 

1. Management samenvatting 

De gemeente Berg en Dal verzamelt en bewerkt persoonsgegevens in verband met de dienstverlening 
aan burgers en bedrijven. 

Het beschermen van de persoonlijke levenssfeer van onze inwoners vinden wij van groot belang. Pri¬ 
vacy en het delen en openbaar maken van privacygevoelige informatie willen we dan ook goed regelen 
in de gemeente Berg en Dal. In de maatschappij is privacy een onderwerp dat veel in de belangstelling 
staat. 

In dit privacy beleid wordt aandacht gegeven aan de volgende onderwerpen: 

• welke gegevens door de gemeente worden verzameld; 

• waarom deze gegevens worden verzameld; 

• hoe de gemeente aan deze gegevens komt; 

• wat er precies mee gebeurt; 

• de termijn voor het bewaren van gegevens; 

• op welke manier de gegevens worden beveiligd; 

• hoe de inwoners hierover worden geïnformeerd. 

De volgende uitgangpunten voor het gemeentelijk privacy beleid worden gehanteerd: 

• De gemeente verwerkt alleen gegevens van en over inwoners die strikt noodzakelijk zijn voor het 
uitvoeren van gemeentelijke taken. 

• De gemeente informeert inwoners over het opslaan van persoonsgegevens. 

• De gemeente bewaart gegevens volgens de wettelijk geldende termijnen of anders altijd zo kort 
mogelijk en vernietigt deze daarna. 

• De gemeente gaat terughoudend om met informatie van en over inwoners. Medewerkers worden 
daarover geïnstrueerd. 

• De gemeente gaat bij handhaving terughoudend om met informatie van en over inwoners. 

• De gemeente deelt persoonsgegevens intern en extern alleen voor zover dat strikt noodzakelijk 
is voor de taakuitvoering. 

• De gemeente zorgt ervoor dat persoonsgegevens niet voorkomen in verslagen. 

• De gemeente deelt medische informatie van burgers alleen met toestemming van de inwoners. 

• Als de gemeente gegevens openbaart als gevolg van een Wob verzoek, stelt de gemeente alles 
in het werk om gegevens van inwoners te anonimiseren. 

• Als de gemeente zelf wettelijk gegevens openbaar moet maken, dan wordt aan betrokken burgers 
eerst om toestemming voor openbaarmaking gevraagd en wordt gegevensverstrekking tot een 
minimum beperkt. 

• Als de gemeente gegevens ter inzage legt, dan wordt van betrokken inwoners de gegevensver¬ 
strekking tot een minimum beperkt. 

• De gemeente draagt via een intern protocol zorg voor het goed uitvoeren van bovenstaand beleid 
door medewerkers en samenwerkende instanties. 

• De gemeente voert toezicht uit op het privacy beleid en de uitvoering ervan. 


2. Inleiding/aanleiding 

De gemeente Berg en Dal verzamelt en bewerkt persoonsgegevens in verband met de dienstverlening 
aan inwoners en bedrijven. Hierbij kan gedacht worden aan de gegevens in de gemeentelijke basisre¬ 
gistratie, de registratie van uitkeringsgerechtigden, het bijhouden van gegevens uit bouwaanvragen 
en het bijhouden van gegevens van inwoners die een Wmo/Jeugd-voorziening hebben toegekend ge- 
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kregen. De gemeente heeft als uitgangspunt dat zij zorgvuldig omgaat met deze gegevens in verband 
met de privacy van betrokkenen. Privacy is de bescherming van het privéleven, het recht om met rust 
gelaten te worden. Privacyregels vragen van gemeenten (en andere overheidsorganen), instellingen 
en bedrijven om zich niet onnodig te mengen in het persoonlijk leven van inwoners. 

Het beschermen van de persoonlijke levenssfeer van onze inwoners vinden wij van groot belang. Pri¬ 
vacy en het delen en openbaar maken van privacygevoelige informatie willen we dan ook goed regelen 
in de gemeente Berg en Dal. In de maatschappij is privacy een onderwerp dat veel in de belangstelling 
staat. 

Dat goed regelen wordt steeds belangrijker omdat ook steeds meer taken als gevolg van de decentrali¬ 
saties wordt overgedragen aan de gemeente. De gemeente Berg en Dal werkt als gevolg daarvan steeds 
meer samen met een breed scala aan partners in het maatschappelijk veld en deelt daarin, waar dit 
nodig is voor de uitoefening van de taak, ook persoonsgegevens. 

De gemeente weet dus steeds meer over haar inwoners en deelt dat functioneel met verschillende 
partijen. Hiermee wordt het bewaken van de privacy van inwoners nog belangrijker dan het van nature 
al was. Dit beleid geeft daarom richting aan de wijze van handelen (procedures, beveiliging, gedrag 
e.d.) van de gemeente en haar werknemers voor het omgaan met privacygevoelige gegevens van in¬ 
woners. 

3. Reikwijdte 

In dit beleid is aandacht besteed aan de volgende onderwerpen: 

• welke gegevens door de gemeente worden verzameld; 

o Door de gemeente Berg en Dal worden persoonsgegevens verzameld en bewerkt. Voor de 
uitvoering van diverse wetten geeft de betreffende wet veelal aan welke persoonsgegevens 
nodig zijn en dus verwerkt mogen worden. 

• waarom deze gegevens worden verzameld; 

o Gegevens worden verzameld omdat zij nodig zijn ten behoeve van de uitvoering van bepaalde 
wetten en regelingen. Ook bij handhaving (zowel bestuursrechtelijk als strafrechtelijk) kan 
het nodig zijn om informatie te vergaren en uit te wisselen. 

• hoe de gemeente aan deze gegevens komt; 

o In het merendeel van de gevallen worden deze gegevens door de betrokkene verstrekt. 
Soms zijn de gegevens afkomstig van derden, bijvoorbeeld van uitkeringsinstanties. 

• wat er precies mee gebeurt; 

o Wat er precies met de verzamelde gegevens gebeurt, is vooraf afhankelijk van het doel 

waarvoor ze vergaard worden. Meestal worden ze in een geautomatiseerd systeem opgeno¬ 
men en zijn ze alleen toegankelijk voor de medewerkers die belast zijn met de uitvoering. 
Er zijn daarvoor procesbeschrijvingen nodig en er zijn concern brede richtlijnen voor infor¬ 
matiebeveiliging. Voor bij hun werk belangrijke, veel voorkomende processen, moeten af¬ 
delingen een specifieke procedure beschrijven, waarin voor dat proces wordt aangegeven 
hoe wordt omgegaan met privacygevoelige informatie. 

• de termijn voor het bewaren van gegevens; 

° De bewaartermijnen van de gegevens lopen uiteen. In diverse wetten zijn minimale en 

maximale bewaartermijnen opgenomen. Daar waar er geen wettelijke regeling is die voorziet 
in een verplichte bewaartermijn, kan het college een besluit over de bewaartermijn nemen. 

• op welke manier de gegevens worden beveiligd; 

o Voor de beveiliging van gegevens is in 2013 onder meer het Strategisch Informatiebeveili- 
gingsbeleid vastgesteld, waarin de kaders en de maatregelen zijn opgenomen. Uitvoering 
daarvan is belegd in een Informatiebeveiligingsplan voor DigiD. 

De beveiliging van de gegevens wordt, zoals ook volgt uit het Strategisch Informatiebevei- 
ligingsbeleid, op verschillende manieren vormgegeven. Zo zijn er natuurlijk de in de geau¬ 
tomatiseerde systemen ingebouwde beveiligingen (gebruikersnamen, wachtwoorden, 
doorzoekbaarheidsbeperkingen, autorisatieniveaus en dergelijke), de gedragscodes en 
protocollen voor de ambtelijke organisatie waarin staat aangegeven hoe om te gaan met 
privacygevoelige informatie en de fysieke maatregelen die getroffen zijn (toegang tot kan¬ 
toorruimtes, afsluiten van kasten en dergelijke). 

• hoe de inwoners hierover worden geïnformeerd. 


2 


Gemeenteblad 2016 nr. 66113 25 mei 2016 




Bergen Dal 


° Indien inwoners gegevens aan de gemeente Berg en Dal verstrekken dan worden zij op de 
hoogte gesteld van de gegevens die de gemeente nodig heeft. Dikwijls staat op de aanvraag¬ 
formulieren vermeld welke gegevens zonder toestemming niet openbaar gemaakt zullen 
worden. De betrokkene hoeft niet geïnformeerd te worden als deze al weet dat de gemeente 
persoonsgegevens van hem/haar verzamelt en verwerkt en weet voor welk doel dat gebeurt. 
Als de gegevens bij de betrokkene zelf worden verkregen, moet de betrokkene vóór de ver¬ 
krijging geïnformeerd worden. Meestal zal de informatie op het aanvraagformulier zijn op¬ 
genomen, waardoor de betrokkene de informatie dan heeft voordat hij de gegevens verstrekt. 
Als de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt 
hij geïnformeerd op het moment dat de gegevens vastgelegd worden of (als de gegevens 
alleen verzameld worden om deze aan een derde te verstrekken) uiterlijk op het moment 
van eerste verstrekking aan die derde. 


4. Juridisch kader 

De Wet bescherming persoonsgegevens (Wbp) regelt het algemene kader voor de omgang met privacy 
in ons land. Persoonsgegeven, verwerken en betrokkene zijn kernbegrippen uit de Wbp. 

Persoonsgegeven: 

leder gegeven dat is te herleiden tot een individuele persoon, valt onder het begrip persoonsgegeven. 
Het gaat niet alleen om vertrouwelijke gegevens over bijvoorbeeld iemands gezondheid, maar om ieder 
gegeven dat te herleiden is tot een bepaalde persoon. 

Verwerken: 

Dit is in de Wbp het kernbegrip voor alle handelingen die met persoonsgegevens kunnen worden verricht, 
zoals: vastleggen, bewaren, verzamelen, bij elkaar voegen, verstrekken aan een ander en vernietigen. 

Betrokkene: 

De persoon op wie de persoonsgegevens betrekking hebben. De betrokkene is de degene van wie ge¬ 
gevens worden verwerkt. 

De Wbp is te beschouwen als parapluwetgeving die van toepassing is op bijna alle sectoren, instellingen 
en bedrijven in Nederland. Voor het verwerken van persoonsgegevens voor privégebruik geldt de Wbp 
niet. 

Wat is een bijzonder persoonsgegeven? 

Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die 
zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen 
dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige per¬ 
soonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, 
strafrechtelijk verleden of seksuele leven. Ook het burgerservicenummer (BSN) is een bijzonder per¬ 
soonsgegeven. 

Het exporteren van persoonsgegevens: doorgifte 

Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van 
persoonsgegevens. De gebruikelijke verwerkingsvoorwaarden zijn hierop onverkort van toepassing 
(voor deze voorwaarden zie Wbp artikel 13, 14 en 22). Daarnaast zijn er in veel gevallen bijzondere 
voorwaarden van toepassing op de doorgifte van persoonsgegevens. Hierbij wordt onderscheid gemaakt 
tussen doorgifte naar een EU-lidstaat en doorgifte naar een land buiten de Europese Unie. 

Op de export van persoonsgegevens naar een EU-lidstaat zijn geen extra regels van toepassing. Daar¬ 
entegen is doorgifte naar een land buiten de Europese Unie aan strenge regels onderworpen. Deze wet 
Europese Privacy Verordening (EPV) is nog in voorbereiding. 

Wat zijn de rechten van betrokkenen? 

De Wbp richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe 
aan personen van wie de gegevens worden verwerkt. 

Inzagerecht 

Dit recht biedt iedereen de mogelijkheid om te controleren of, en op welke manier, zijn gegevens worden 
verwerkt. 

Correctierecht 

Wanneer iemand zijn inzagerecht heeft gebruikt en tot de conclusie komt dat zijn gegevens gecorrigeerd 
moeten worden, kan hij daartoe een verzoek indienen bij degene die verantwoordelijk is voor de gege¬ 
vensverwerking. 
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Recht van verzet 

Tegen bepaalde vormen van gegevensverwerking kan de betrokkene zich verzetten, als gevolg waarvan 
de verwerking van zijn persoonsgegevens mogelijk moet worden gestaakt. 

Wie houdt toezicht? 

De Autoritiet Persoonsgegevens (AP) houdt toezicht op de verwerking van persoonsgegevens. Daarnaast 
adviseert het AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking 
van persoonsgegevens. 

Binnen de gemeentelijke organisatie zal een Functionaris voor de Gegevensbescherming (FG) moeten 
worden aangesteld om toezicht te houden op de toepassing en naleving van de Wet bescherming 
persoonsgegevens (Wbp) binnen een organisatie (verwezen wordt naar hoofdstuk 6.15). 

Er zijn meerdere wetten die toezien op hoe we moeten omgaan met privacygevoelige gegevens. In de 
zorgsector, specifiek de gezondheidzorg en de jeugdzorg zijn naast de Wbp eigen wetten en regels over 
privacy van toepassing. Hierbij kan gedacht worden aan: 

• de Wet op de beroepen in de individuele gezondheidszorg (Wet Big); 

• de Wet op de geneeskundige behandelingsovereenkomst (Wgbo); 

• de Jeugdwet. 

Andere privacywetten zijn: 

• de Wet basisregistratie personen (Wet BRP); 

• Wet politiegegevens; 

• Wet justitiële en strafvorderlijke gegevens; 

• Archiefwet (bewaartermijnen). 

Uit onder meer de media en uit gegevens van de Autoritiet Persoonsgegevens blijkt dat het verwerken, 
en dan vooral het niet adequaat verwerken, van persoonsgegevens strijdig met de wet en een bron 
van ergernis is van inwoners en zelfs kan leiden tot onacceptabele situaties, waarbij bijvoorbeeld iemands 
identiteit wordt 'gestolen' en misbruikt wordt. Juiste toepassing van de wettelijke regels achten wij van 
belang. Dit beleid en later uitwerkte stukken in de domeinen vormen een nadere uitwerking van de 
wettelijke regelgeving en een praktische handleiding voor de ambtelijke organisatie. Het college streeft 
te allen tijde een zorgvuldige verwerking van persoonsgegevens na. 

5. Uitgangspunten Beleid 

Het wettelijke kader, zoals beschreven in de vorige paragraaf, is bepalend bij het formuleren van de 
uitgangspunten van beleid. Dit beleid komt niet in de plaats van al vastgestelde convenanten, privacy¬ 
reglementen en privacy protocollen, maar moet gezien worden als een nadere formulering van het 
beleid van de gemeente Berg en Dal. Toekomstige convenanten, reglementen en protocollen moeten 
voldoen aan dit privacy beleid. 

Gegevens worden veelal verzameld omdat zij nodig zijn ten behoeve van de uitvoering van bepaalde 
wetten of regelingen en worden in de meeste gevallen door de betrokkenen zelf aangeleverd. De 
zorgvuldigheidseisen die o.a. door de Wet bescherming persoonsgegevens worden bepaald worden 
daarbij in acht genomen. Welke rechten inwoners hebben als hun gegevens worden verwerkt wordt 
ook in acht genomen. Regelmatig worden er ook vragen gesteld over het al of niet mogen verstrekken 
van persoonlijke gegevens aan derden. Vaak zijn het lastige vragen waarbij het antwoord niet gemak¬ 
kelijk te geven is. Vragen gaan soms ook over de actieve openbaarmakingsplicht: welke gegevens 
moeten we uit eigen beweging op internet plaatsen of ter inzage leggen: namen en adressen van aan¬ 
vragers? 

Dit nieuwe privacy beleid heeft zijn doorwerking in de diverse domeinen. Dit geeft handvatten voor de 
beantwoording van allerlei vragen op het gebied van privacy. Er wordt onder andere aandacht besteed 
aan het juridisch kader, aan passieve en actieve openbaarmaking van privacygevoelige informatie, aan 
persoonsgegevens in het algemeen, aan uitwisseling van gegevens met collega's en andere gemeen¬ 
telijke diensten en aan medische persoonsgegevens. In het protocol worden ook praktische kwesties 
behandeld, zoals: mag ik dossiers waarin persoonsgegevens staan op mijn bureau achterlaten als ik 
ga lunchen? 

Het privacy-beleid is gestoeld op de volgende beleidsuitgangspunten: 

• Binnen de geldende wet- en regelgeving de gegevens van burgers en bedrijven verwerken; 

• Op een transparante manier duidelijk maken hoe de gemeente denkt over privacy en hoe de ge¬ 
meente privacy te allen tijde probeert te borgen; 

• Erop toezien dat daar waar sprake is van verwerking van persoonsgegevens werkwijzen worden 
vastgelegd en op professionele uitgevoerd conform protocollen of procesbeschrijvingen; 
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Afhandeling van klachten van inwoners en bedrijven over privacyaspecten vindt plaats op een 
toegankelijke, laagdrempelige wijze; 

In geval van samenwerking met externe partners, specifiek binnen het sociale domein, waar 
sprake is van verwerking van persoonsgegevens worden afspraken gemaakt over: 
o eisen waar gegevensuitwisselingssystemen aan moeten voldoen; 
o scholing voor betrokkenen binnen de samenwerkingsrelatie over privacy regels. 


Er zijn diverse beleidsonderwerpen waar verwerking van persoonsgegevens aan de orde zijn. Zonder 
uitputtend te willen zijn worden hier de meest in oog springende beleidsvelden genoemd: 

• Dienstverlening aan burgers en bedrijven; 

• Sociale Zaken uitvoering Participatiewet en aanverwante uitkeringen, Wet maatschappelijke on¬ 
dersteuning en Jeugdwet; 

• Onderwijsbeleid (inclusief leerlingenvervoer); 

• Verzoeken van informatie van burgers en bedrijven (al dan gebaseerd op de Wet openbaarheid 
van bestuur); 

• Omgevingsloket; 

• Inrichting en beheer van de openbare ruimte; 

• Economische zaken; 

• Openbare orde en veiligheid; 

• Handhavingsbeleid; 

• Gemeentelijke belastingen; 

• Aansprakelijkstellingen; 

• Archiefbeleid; 

• Gemeentelijk personeelsbeleid. 

Voor bij het werk belangrijke, veel voorkomende processen, worden specifieke procedures beschreven, 
waarin voor dat proces wordt aangegeven hoe wordt omgegaan met privacygevoelige informatie. Die 
specifieke procedure dient te voldoen aan de uitgangspunten van dit concern brede beleid (en natuurlijk 
het wettelijke kader zoals beschreven in hoofdstuk 3). Dergelijke specifieke procedures (werkprocessen) 
worden ter vaststelling voorgelegd aan de directie/MT. 

6. Verwerking van persoonsgegevens 

De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoons¬ 
gegevens. Het gaat er om of er enige feitelijke macht of invloed, al dan niet via een computersysteem, 
over de gegevens uitgeoefend kan worden. Kan er een handeling met de gegevens verricht worden? 
De Wbp noemt een aantal handelingen, die als verwerking worden aangeduid: 

• verzamelen, vastleggen en ordenen; 

• bewaren, bijwerken en wijzigen; 

• opvragen, raadplegen, gebruiken; 

• verstrekken door middel van doorzending; 

• verspreiding of enige andere vorm van terbeschikkingstelling; 

• samenbrengen, met elkaar in verband brengen; 

• afschermen, uitwissen of vernietigen van gegevens. 

Dit zijn slechts voorbeelden; elke handeling ofwel alles watje doet met betrekking tot persoonsgegevens 
is een verwerking van persoonsgegevens. Ook voor deze verwerkingen geeft het Informatiebeveiligings- 
beleid kaders en te nemen maatregelen. 

Op grond van de Wbp mogen persoonsgegevens alleen verzameld worden als daarvoor een doel bestaat. 
Dit doel moet wel bepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Ook moet steeds nagegaan 
worden of het verwerken van persoonsgegevens noodzakeliik is voor het doel. Dit heet doelbinding. 
Voor de uitvoering van diverse wetten (denk aan Wet ruimtelijke ordening (Wro) en Participatiewet zal 
in de betreffende wet dikwijls zijn aangegeven welke persoonsgegevens nodig zijn en dus verwerkt 
mogen worden. Daar waar over verwerking van persoonsgegevens in bijzondere wetgeving niets is 
geregeld, geldt dus het strikte regime van de Wbp. 

Verwerking is alleen toegestaan indien het verwerkingsdoel niet op een andere (minder belastende) 
wijze kan worden bereikt. Dit heet subsidiariteit . 

Voorwaarden voor verwerking: algemene regels 

Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de weten op behoorlijke en 
zorgvuldige wijze worden verwerkt. Dit noemen we rechtmatigheid . Daarnaast mogen persoonsgegevens 
slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven. Bovendien bepaalt 
de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, terzake dienend 
en niet bovenmatig zijn. Dit noemen we proportionaliteit . 
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De betrokkene heeft ook recht op informatie als er persoonsgegevens van hem worden verwerkt. De¬ 
gene die persoonsgegevens vraagt moet hem onder andere laten weten wie hij is en wat voor gegevens 
hij waarvoor verwerkt. Dit noemen we transparantie. 

Een belangrijke verplichting die uit de wet voortvloeit is de melding die de verwerker moet doen bij de 
Autoriteit Persoonsgegevens of bij de voor de organisatie benoemde Functionaris voor de Gegevens¬ 
bescherming. Deze melding is bedoeld om de transparantie te bevorderen: alle bij het AP gedane 
meldingen worden opgenomen in een openbaar register. 

Sommige verwerkingen hoeven op grond van de wet niet aangemeld te worden, zoals het handelsre¬ 
gister van de Kamer van Koophandel. Daarnaast is in het Vrijstellingsbesluit Wbp een groot aantal 
verwerkingen opgenomen dat is vrijgesteld van melding. Voor dergelijke vrijgestelde verwerkingen 
blijven de overige vereisten van de Wbp gewoon van kracht. 

Behalve bovengenoemde algemene regels geldt dat er voor elke verwerking van persoonsgegevens 
een rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht. 

Voorwaarden voor verwerking: rechtvaardigingsgronden 

Naast bovengenoemde algemene regels stelt de wet als eis dat voor elke verwerking van persoonsge¬ 
gevens ten minste één van de in de wet genoemde rechtvaardigingsgronden van toepassing moet zijn. 
De wet kent de volgende gronden: 

Toestemming 

De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn ondub¬ 
belzinnige toestemming gegeven. 

Uitvoering overeenkomst 

De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene 
partij is. 

Wettelijke verplichting 

De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen. 

Vitaal belang 

De gegevensverwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrok¬ 
kene te bestrijden. 

Publiekrechtelijke taak 

De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. 

Gerechtvaardigd belang 

De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene 
die de gegevens verwerkt (of van een derde aan wie de gegevens worden verstrekt). Dit betekent dat 
degene die de gegevens verwerkt zijn eigen belang moet afwegen tegen het belang en de rechten van 
de betrokken persoon. Ook moet de verwerker vooraf nagaan of hetzelfde resultaat niet kan worden 
bereikt met minder gegevens. 

7. Gemeentelijk Privacy Beleid 

7.1 Welke persoonsgegevens verwerkt de gemeente Berg en Dal? 

De gemeente verwerkt alleen gegevens van en over inwoners die strikt noodzakelijk zijn voor het 
uitvoeren van gemeentelijke taken. 

De gemeente Berg en Dal verzamelt in het kader van de uitvoering van wet- en regelgeving gegevens 
die informatie kunnen verschaffen over een identificeerbaar persoon. Dat kunnen gegevens zijn die 
naar hun aard feitelijke informatie over een persoon geven, zoals iemands naam, geboortedatum of 
geslacht. Ook gegevens over voorwerpen of objecten kunnen persoonsgegevens zijn. Of een dergelijk 
gegeven een persoonsgegeven is hangt af van de context waarin het gegeven wordt verwerkt. De 
waarde van een woning is bijvoorbeeld wel een persoonsgegeven wanneer dat gegeven wordt verwerkt 
in de administratie voor de WOZ-waarde. 

De persoon waar de gegevens betrekking op hebben moet vervolgens wel identificeerbaar zijn. Is de 
betrokkene niet identificeerbaar, dan is het gegeven geen persoonsgegeven. Een persoon is identifi¬ 
ceerbaar als de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanning vastgesteld 
kan worden. Als door versleuteling van de gegevens en/of afspraken over de toegang tot die gegevens 
daadwerkelijke identificatie redelijkerwijs is uitgesloten, is de persoon niet identificeerbaar. Steeds is 
de feitelijke situatie bepalend. 
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Soms zijn de gegevens afkomstig van derden, bijvoorbeeld van uitkeringsinstanties. De persoonsgege¬ 
vens betreffen naam, adres, woonplaats en dergelijke, maar soms ook inkomensgegevens, medische 
gegevens of gegevens over de gezinssamenstelling. De gegevensverwerking moet in overeenstemming 
zijn met de Wbp. Sommige wetten hebben voorrang op de Wbp en bevatten een aantal specifieke be¬ 
palingen over gegevensverwerking. In afdeling 7.5 van boek 7 van het Burgerlijk Wetboek (de overeen¬ 
komst betreffende geneeskundige behandeling) is bijvoorbeeld een speciale regeling opgenomen over 
(onder meer) inzage in medische dossiers. 

7.2 Hoe weet iemand dat de gemeente Berg en Dal persoonsgegevens verwerkt? 

De gemeente informeert inwoners over het opslaan van persoonsgegevens. 

Indien inwoners gegevens aan de gemeente Berg en Dal verstrekken worden zij door middel van de 
invulformulieren of andere wijze (bijv. mondeling), dan wel de toelichting daarop op de hoogte gesteld 
van de gegevens die de gemeente nodig heeft. Dikwijls staat op de aanvraagformulieren vermeld 
welke gegevens zonder toestemming niet openbaar gemaakt zullen worden. De betrokkene hoeft niet 
geïnformeerd te worden als deze al weet dat de gemeente persoonsgegevens van hem verzamelt en 
verwerkt en weet voor welk doel dat gebeurt. Als de gegevens bij de betrokkene zelf worden verkregen, 
moet de betrokkene vóór de verkrijging geïnformeerd worden. Meestal zal de informatie op het aan¬ 
vraagformulier zijn opgenomen, waardoor de betrokkene de informatie dan heeft voordat hij de gegevens 
verstrekt. 

Als de gegevens via een andere weg verkregen worden, dus buiten de betrokkene om, wordt hij geïn¬ 
formeerd op het moment dat de gegevens vastgelegd worden of (als de gegevens alleen verzameld 
worden om deze aan een derde te verstrekken) uiterlijk op het moment van eerste verstrekking aan die 
derde. 

7.3 Hoe lang bewaart de gemeente gegevens? 

De gemeente bewaart gegevens volgens de wettelijk geldende termijnen of anders altijd zo kort mo¬ 
gelijk en vernietigt deze daarna. 

De bewaartermijnen van de gegevens lopen uiteen. In diverse wetten zijn minimale en maximale be¬ 
waartermijnen opgenomen. Ook de Archiefwet verplicht overheidsorganen, zoals de gemeente Berg 
en Dal, om gegevens te bewaren en zorg te dragen voor vernietiging van de daarvoor in aanmerking 
komende documenten als de bewaartermijn verstreken is. Daar waar er geen wettelijke regeling is die 
voorziet in een verplichte bewaartermijn, kan het college een besluit over de bewaartermijn nemen. 
Deze zal zo kort mogelijk zijn. 

7.4 Hoe gaat de gemeente om met privacygevoelige informatie binnen de organisatie? 

De gemeente gaat terughoudend om met informatie van en over burgers. Medewerkers worden 
daarover geïnstrueerd. 

De gemeente zal terughoudend omgaan met het verstrekken van persoonsgegevens aan andere orga¬ 
nisatieonderdelen, samenwerkende instanties of derden. Daarvoor worden in het hiernavolgende een 
aantal aspecten/normen gegeven die als uitgangspunt dienen bij de verwerking van persoonsgegevens: 

• Medewerkers gaan zorgvuldig om met privacygevoelige informatie. Dat geldt zowel voor infor¬ 
matie op het bureau, in kasten, dossiers, het mee naar huis nemen enz. 

• Medewerkers treffen waarborgen dat persoonlijke informatie niet ter beschikking komt van derden. 

• Waar mogelijk wordt gewerkt met geanonimiseerde gegevens; alleen namen noemen indien dat 
absoluut noodzakelijk is. 

Deze uitgangspunten van het privacy beleid sluiten aan bij het Informatiebeveiligingsbeleid. 

7.5 Hoe gaat de gemeente om met privacygevoelige informatie bij handhaving? 

De gemeente gaat bij handhaving terughoudend om met informatie van en over inwoners. 

Het uitgangspunt is dat terughoudend wordt omgegaan met het verzamelen, delen c.q. verstrekken 
van informatie. Dat geldt ook voor het geval er bestuursrechtelijke of strafrechtelijke handhaving 
plaatsvindt, waarbij het nodig is om informatie uit te wisselen en of te verstrekken. De informatie die 
dan verstrekt wordt moet uiteraard noodzakelijk en proportioneel zijn, maar het is wel duidelijk dat in 
dergelijke gevallen door de overheid informatie wordt gebruikt om de bewijsposities te krijgen enz. 

Om een voorbeeld te noemen: in het kader van Participatiewet (artikel 64) is het bijvoorbeeld voor or¬ 
ganisaties verplicht om bepaalde informatie te verstrekken. 

En daarnaast geldt: juist bij ingrijpende maatregelen als handhavingstrajecten is het voor de zorgvul¬ 
digheid van belang dat het handhavende bestuursorgaan over alle relevante feiten beschikt. 
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7.6 Wanneer verstrekt de gemeente persoonsgegevens aan een andere afdeling of samenwerkende 
instantie? 

De gemeente deelt persoonsgegevens intern en extern alleen voor zover dat strikt noodzakelijk is 
voor de taakuitvoering. 

Op grond van artikel 9, lid 1 Wbp mogen persoonsgegevens niet verder worden verwerkt op een wijze 
die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. 

Vaak zullen gegevens aan een dienst worden verstrekt voor de uitvoering van een bepaalde wet (denk 
aan de Wet maatschappelijke ondersteuning (Wmo) of de Jeugdwet). Ze mogen dan alleen voor dat 
doel gebruikt worden. Bij de uitvoering van deze wetten en gemeentelijk beleid hieromtrent zijn de 
zorgprofessionals (en vrijwilligers) gehouden aan de wet- en regelgeving die gelden in zorgsector 
(verwezen wordt naar hoofdstuk 4). 

Als een andere afdeling of samenwerkende instantie vraagt om die gegevens ten behoeve van bijvoor¬ 
beeld de uitvoering van een andere wet, slaat die vraag op verwerking van de gegevens voor wellicht 
een ander - misschien onverenigbaar - doel. De gemeente kan bijvoorbeeld om informatie over moge¬ 
lijkheden voor minima gericht te kunnen versturen, aan een regionale sociale dienst vragen om per¬ 
soonsgegevens uit de registratie voor de Wmo. Hier doet zich dan de vraag voor of de Wmo-gerechtigden 
hun gegevens ook voor het doel 'informeren minima' verstrekt hebben. Als betrokkene ondubbelzinnig 
toestemming heeft verleend voor de verwerking door de andere dienst (en dat zou gevraagd kunnen 
worden) dan zouden de gegevens met de andere dienst gedeeld kunnen worden. Als meerdere afdelingen 
of samenwerkende Instanties betrokken zijn bij een bepaalde kwestie kan het zijn dat verstrekte per¬ 
soonsgegevens door die organisaties gedeeld worden. Dat kan ook, omdat in een dergelijk geval 
sprake is van verenigbare doeleinden. 

7.7 Hoe gaat de gemeente om met privacygevoelige informatie in verslagen (ambtelijke) overleggen? 
De gemeente zorgt ervoor dat persoonsgegevens niet voorkomen in verslagen. 

In verslagen van ambtelijke overleggen mogen geen privacygevoelige gegevens opgenomen worden 
die herleidbaar kunnen zijn tot een persoon. Evenmin is dit toegestaan in verslagen van overleggen 
waarbij (vertegenwoordigers van) andere instanties betrokken zijn. 

7.8 Hoe gaat de gemeente om met medische informatie? 

De gemeente deelt medische informatie van burgers alleen met toestemming van de inwoner. 

Voor het delen van medische informatie binnen de gemeentelijke organisatie geldt dat dat slechts kan 
met toestemming van de betrokkene. Is er geen toestemming van de betrokkene of is die toestemming 
redelijkerwijs niette verkrijgen, dan kan de medische informatie NIET gedeeld worden met medewerkers 
van andere gemeentelijke diensten of samenwerkende instanties. 

Een uitzondering bestaat in slechts heel bijzondere gevallen. Zonder toestemming kan medische infor¬ 
matie gedeeld worden in het uitzonderlijke geval van een EVIDENT belang . Van een evident belang is 
bijvoorbeeld sprake als er ernstig gevaar voor de gezondheid van betrokkene of een ander is of de 
vrees daarvoor. De hulpverlener moet die afweging maken tussen de verschillende belangen: het belang 
van de inwoner dat het geheim bewaard blijft tegen het evidente belang. Van een evident belang zal 
in het geval van gegevensuitwisseling met een niet-hulpverlenende instantie niet snel sprake zijn. 

Als het bij hoge uitzondering vanwege een evident belang onvermijdelijk is om medische informatie 
te delen, dan moet dat bij voorkeur MONDELING in een zo BEPERKT MOGELIJKE KRING. De informatie 
mag alleen gedeeld worden met die persoon werkzaam voor de gemeente Berg en Dal, voor wie het 
kennisnemen met het oog op het in het geding zijnde evidente belang vereist is. 

7.9 Hoe gaat de gemeente om met passieve openbaarmaking inzake de Wbp? 

De gemeente verstrekt op verzoek van inwoners de voor die inwoner geregistreerde gegevens. 

Iedereen mag vragen of, en zo ja welke persoonsgegevens de gemeente van hem verwerkt. Informatie 
en geregistreerde gegevens die verstrekt wordt aan de inwoner in het kader van de Wbp is openbaar 
voor degene aan wie de informatie verstrekt is. 

Bij Wbp-verzoeken is van belang dat wordt nagegaan dat degene die om informatie vraagt ook degene 
is over wie de informatie wordt gevraagd. Is de betrokkene jonger dan 16 jaar of onder curatele gesteld, 
dan moet het verzoek om inzage door de wettelijke vertegenwoordiger worden gedaan. 

Verwezen wordt naar paragraaf 3. 
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7.10 Hoe gaat de gemeente om met passieve openbaarmaking inzake de Wob? 

Als de gemeente gegevens openbaart als gevolg van een Wobverzoek, stelt de gemeente alles in het 
werk om gegevens van inwoners te anonimiseren. 

Informatie die verstrekt kan worden in het kader van de Wob is voor altijd en voor iedereen openbaar. 
Daar kunnen ook gegevens van inwoners bij zitten. De gemeente anonimiseert deze. 

7.11 Hoe gaat de gemeente om met actieve openbaarmaking? 

Als de gemeente zelf wettelijk gegevens openbaar moet maken, dan wordt aan betrokken inwoners 
eerst om toestemming voor openbaarmaking gevraagd en wordt gegevensverstrekking tot een mini¬ 
mum beperkt. 

De Wob kent als hoofdregel dat overheidsinformatie openbaar is. In artikel 8, lid 1 Wob is het beginsel 
van actieve openbaarmaking neergelegd. Dat wil zeggen: het uit eigen beweging verstrekken van infor¬ 
matie door een bestuursorgaan, zoals de gemeente. De plicht tot het verstrekken van informatie ontstaat 
voor de gemeente zodra dit in het belang is van een goed en democratisch bestuur. Soms geeft ook 
een bijzondere wet aan dat informatie openbaar gemaakt moet worden. Er moet altijd een belangenaf¬ 
weging plaats vinden. Op de gemeente rust de plicht om ook bij actieve openbaarmaking een inbreuk 
op het recht op eerbiediging van de persoonlijke levenssfeer te vermijden dan wel zo beperkt mogelijk 
te houden. De Wob geeft immers als weigeringsgrond voor openbaarmaking de bescherming van de 
persoonlijke levenssfeer. Het is geen absolute weigeringsgrond, maar er moet een belangenafweging 
plaatsvinden (belang openbaarheid versus belang bescherming persoonlijke levenssfeer). 

Indien we privacygevoelige gegevens actief openbaar moeten/willen maken, geldt dat we toestemming 
van de betrokkenen nodig hebben, of dat er een aantoonbare noodzaak moet zijn voor de openbaarma¬ 
king, zoals nakoming van een wettelijke verplichting. Denk bijvoorbeeld aan de plicht die voortvloeit 
uit de Woningwet om een register bij te houden van verleende bouwvergunningen. 

7.12 Hoe gaat de gemeente om met het ter inzage leggen van informatie? 

Als de gemeente gegevens ter inzage legt, dan wordt van betrokken inwoners de gegevensverstrekking 
tot een minimum beperkt. 

Een maniervan openbaar maken van informatie is door het ter inzage te leggen. Bij het ter inzage leggen 
van stukken dient ook rekening gehouden te worden met de Wbp. Privacygevoelige gegevens die niet 
openbaar gemaakt moeten worden, dienen ook niet ter inzage gelegd te worden. Dit betekent dat do¬ 
cumenten/dossiers die ter inzage liggen geschoond moeten worden op privacygevoelige gegevens. 
Dit betekent niet dat altijd alle persoonsgegevens onleesbaar moeten worden gemaakt (anonimiseren); 
soms heeft bijvoorbeeld de vermelding van naam en adres een duidelijke functie, denk aan de aanvraag 
voor een kapvergunning. Is de aanvraag gedaan door de rechthebbende en om welke boom gaat het 
precies? Om daar antwoord op te kunnen geven zijn naam van de aanvrager en het adres van het perceel 
waar de boom staat noodzakelijke gegevens. 

Ter inzage leggen (openbaar maken) is iets anders dan het recht op inzage op grond van de Wbp. Ieder¬ 
een mag met redelijke tussenpozen vragen of, en zo ja welke persoonsgegevens ten aanzien van hem 
verwerkt worden. De informatie is dan alleen openbaar voor de betrokkene zelf (dan wel zijn wettelijke 
vertegenwoordiger). 

7.13 Hoe gaat de gemeente om met gedragsregels voor het verwerken van privacygevoelige informatie? 

De gemeente draagt via een intern protocol zorg voor het goed uitvoeren van bovenstaand beleid 
door medewerkers en samenwerkende instanties. 

In het hiervoor gestelde is uitleg gegeven over wat privacywetgeving inhoudt en betekent voor de ge¬ 
meente Berg en Dal. Daarbij is het van belang om te constateren dat privacy lastig is, er moeten diverse 
afwegingen worden gemaakt. 

Daarnaast zijn we van mening dat het van belang is om hiervoor (nieuwe) normen te stellen, en die 
ook heel duidelijk met de ambtelijke organisatie af te stemmen. 

7.14 Wie houdt toezicht op het naleven van de regels? 

De gemeente voert toezicht uit op het privacy beleid en de uitvoering ervan. 

Het is van belang om ten aanzien van privacy ook te zorgen dat de normen in het beleid en protocol 
geëvalueerd worden. Daarom wordt het privacy beleid en de uitvoering ervan jaarlijks geëvalueerd. 
Dat kan dan leiden tot aanpassing van werkwijzen en/of het protocol. 

De Gemeente Berg en Dal moet een Functionaris voor de Gegevensbescherming (FG) benoemen. Deze 
functionaris heeft tot taak om gemeentelijke zaken die betrekking hebben op privacy te coördineren. 
Het is uitdrukkelijk niet de bedoeling dat deze functionaris de taken op het gebied van bescherming 
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van de privacy van de afdelingen overneemt. De afdelingen hebben hun eigen verantwoordelijkheid 
in het borgen van het omgaan met privacygevoelige gegevens. 

8. Bronnen 

Dit privacy beleid is tot gekomen met raadpleging/citering van de volgende bronnen: 

• Privacy Impact Assessment gemeentelijke 3D informatiehuishouding. Ministerie van Binnenlandse 
Zaken en Koninkrijksrelatie 

• De Kleine Gids omgaan met privacy en beroepsgeheim in de jeugdzorg 2011, Kluwer Editie 2011 

• Justitia.nl Privacy en bescherming persoonsgegevens 

Dit beleid treedt in werking op de dag na bekendmaking. 

Aldus besloten in de vergadering van 12 april 2016 door het college van burgemeester en wethouders 
van de gemeente Berg en Dal. 

Burgemeester, 

Secretaris, 
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